Peretas Korea Utara Deepfake Execs in Zoom Call untuk Menyebarkan Malware Mac

Grup Peretasan Bluenoroff Korea Utara adalah eksekutif perusahaan yang mendalam selama panggilan zoom untuk menipu karyawan agar memasang malware khusus di perangkat macOS mereka.

Bluenoroff (alias Sapphire Sleet atau TA444) adalah kelompok Ancaman Persisten Korea Utara (APT) yang dikenal karena melakukan serangan pencurian cryptocurrency menggunakan malware Windows dan Mac.

Peneliti Huntress mengungkap serangan Bluenoroff baru pada 11 Juni 2025, ketika mereka dipanggil untuk menyelidiki intrusi potensial pada jaringan mitra.

Seperti serangan sebelumnya, tujuan utama kemungkinan besar adalah pencurian cryptocurrency, yang selaras dengan laporan terbaru lainnya tentang aktor ancaman dari Sentinellabs, Microsoft, SelaiDan Kaspersky.

Serangan zoom

Target, seorang karyawan di sebuah perusahaan teknologi, dihubungi oleh para penyerang di Telegram, yang berpose sebagai profesional eksternal yang meminta pertemuan.

Penyerang mengirim pesan yang berisi tautan kalender untuk apa yang tampaknya menjadi sesi Google Meet, tetapi tautan undangan sebenarnya adalah domain zoom palsu yang dikendalikan oleh penyerang.

Taktik ini mirip dengan kampanye ditemukan oleh jejak bit Pada bulan April, yang mengaitkannya dengan kluster aktivitas Korea Utara ‘Comet yang sulit dipahami.’

Ketika karyawan menghadiri pertemuan tersebut, yang sebenarnya merupakan pertemuan zoom, itu termasuk video -video Deepfake dari kepemimpinan senior yang dapat dikenali dari perusahaan karyawan dan berbagai peserta eksternal untuk menambah kredibilitas.

Selama pertemuan, korban mengalami masalah dengan mikrofon mereka, yang tidak berhasil, tampaknya karena masalah teknis. Deepfakes menyarankan korban untuk mengunduh ekstensi zoom yang seharusnya yang akan memperbaiki masalah.

Tautan yang disediakan melalui Telegram membuat korban mengunduh file apel (zoom_sdk_support.scpt).

Setelah dieksekusi, file membuka halaman web Zoom SDK yang sah, tetapi setelah mem -parsing 10.500 baris kosong, itu mengeksekusi perintah jahat yang mengunduh muatan sekunder dari sumber eksternal (https[://]mendukung[.]US05WebZoom[.]biz) dan menjalankannya.

Pada saat Huntress dipanggil untuk menyelidiki, muatan terakhir telah ditarik dari domain yang dikendalikan penyerang. Namun, mereka dapat menemukan versi tentang VirusTotal yang memberikan wawasan.

“Skrip dimulai dengan menonaktifkan logging riwayat bash dan kemudian memeriksa apakah Rosetta 2, yang memungkinkan Apple Silicon Mac untuk menjalankan biner x86_64, diinstal,” jelas laporan Huntress.

“Jika tidak, itu secara diam -diam menginstalnya untuk memastikan payloadx86_64 dapat dijalankan. Kemudian membuat file yang disebut .pwd, yang disembunyikan dari tampilan pengguna karena periode yang mempersiapkannya dan mengunduh muatan dari halaman zoom palsu yang jahat ke /tmp /icloud_helper.”

Secara keseluruhan, Reseachers menemukan delapan binari berbahaya yang berbeda pada tuan rumah yang dikompromikan dalam serangan ini.

Tidak termasuk alat minor yang digunakan dalam injeksi proses dan dekripsi implan, malware Mac yang digunakan dalam kampanye adalah:

• Telegram 2 -Implan kegigihan berbasis NIM menyamar sebagai pembaruan telegram yang sah. Ini berjalan pada jadwal dan bertindak sebagai titik masuk untuk sisa rantai malware. Biner ditandatangani dengan sertifikat pengembang telegram yang valid, membantu menghindari pengawasan dan tetap tidak terdeteksi.
• Root troy v4 -Backdoor berbasis GO yang memungkinkan eksekusi kode jarak jauh, perintah antrian selama status tidur, dan mengunduh muatan tambahan. Ini berfungsi sebagai pengontrol pusat untuk operasi pasca-infeksi dan mempertahankan konfigurasi dan status malware.
• A (suntikan dengan) -Loader tahap kedua yang mendekripsi implan terenkripsi menggunakan kunci AES yang diturunkan kata sandi dan menyuntikkannya ke dalam memori. Ini menggunakan API spesifik macOS untuk injeksi proses dan mencakup fungsionalitas antiforensik untuk menghapus jejak dirinya setelah digunakan.
• Xscreen (keyboardd) – Komponen pengawasan yang mencatat penekanan tombol, merekam layar, dan memantau clipboard. Ini beroperasi terus menerus di latar belakang dan mengirim data yang dikumpulkan ke server perintah-dan-kontrol.
• Cryptobot (Airmond) -Infostealer yang berfokus pada cryptocurrency ditulis dalam go. Ini menargetkan lebih dari 20 platform dompet, mengekstraksi data yang sensitif dan menyimpannya dalam cache terenkripsi lokal untuk exfiltration.

Intrusi yang ditemukan oleh Huntress mencerminkan kecanggihan Bluenoroff yang berkembang, yang sekarang memanfaatkan AI Deepfakes untuk rekayasa sosial dan malware macOS kustom.

Huntress memperingatkan bahwa banyak pengguna Mac telah menidurkan untuk berpikir mereka cenderung ditargetkan oleh malware.

Namun, ketika MacOS memperoleh adopsi yang lebih luas di perusahaan, para aktor ancaman semakin mengembangkan malware yang menargetkan sistem operasi.

Kampanye terbaru, mulai dari Infostealer yang meluas Dan drainers yang ditujukan untuk pencurian crypto untuk maju, serangan yang ditargetkan terhadap organisasi Seperti ini, jelaskan bahwa pengguna MacOS harus lebih siap dan terlindungi.